这是一个创建于 710 天前的主题,其中的信息可能已经有所发展或是发生改变。
前情提要:
被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了( t/989278 )
我以损失拍摄大半天的迪士尼照片为代价得出了 iOS 剩余存储空间就是放屁的结论( t/989309 )
现在这些东西暴露给用户的逻辑这么复杂/自以为是,连上 v2 的程序员都搞不清,别说普通人了。普通人遇上这种情况,根本就是束手无策:以往用电脑、nas 存个照片,还能拆硬盘找找,也可以用很简单(普通人能看懂)的逻辑把照片同时存在两个物理硬盘中。全盘加密的 ios ,或者是云备份被删除的 2fa ,只能认栽了。
个人目前照片文档是存 onedrive 的,ios 端,安卓端,mac 端都可以自动上传,暂时也没有文件损坏的大新闻。2fa 十几个,都通过 google auth app 同步,bitwarden 官方 app 存密码(不是自建)。我有看到很多 v2er 都是自建 vault/截图保存 2fa 导出二维码/存自己 nas 。但这样逻辑就更复杂了/更难以维护了,而且自家 nas 理论上保证率不如云服务高(实际上 emmm ),到头来只是存个照片、密码而已。
个人是没法不用 vault 的,现在每个 app 、网站 id 、密码要求千奇百怪,如果不用 vault ,唯一的结果就是用一次找回一次((
欢迎大家随便聊聊
被 Microsoft Authenticator 坑惨了,所有 2FA 全丢了( t/989278 )
我以损失拍摄大半天的迪士尼照片为代价得出了 iOS 剩余存储空间就是放屁的结论( t/989309 )
现在这些东西暴露给用户的逻辑这么复杂/自以为是,连上 v2 的程序员都搞不清,别说普通人了。普通人遇上这种情况,根本就是束手无策:以往用电脑、nas 存个照片,还能拆硬盘找找,也可以用很简单(普通人能看懂)的逻辑把照片同时存在两个物理硬盘中。全盘加密的 ios ,或者是云备份被删除的 2fa ,只能认栽了。
个人目前照片文档是存 onedrive 的,ios 端,安卓端,mac 端都可以自动上传,暂时也没有文件损坏的大新闻。2fa 十几个,都通过 google auth app 同步,bitwarden 官方 app 存密码(不是自建)。我有看到很多 v2er 都是自建 vault/截图保存 2fa 导出二维码/存自己 nas 。但这样逻辑就更复杂了/更难以维护了,而且自家 nas 理论上保证率不如云服务高(实际上 emmm ),到头来只是存个照片、密码而已。
个人是没法不用 vault 的,现在每个 app 、网站 id 、密码要求千奇百怪,如果不用 vault ,唯一的结果就是用一次找回一次((
欢迎大家随便聊聊
 | 1 q534 OP 是否,信息安全专家们正在朝着奇怪的方向狂奔? |
 | 2 caomu 2023-11-07 09:48:05 +08:00 via Android  1 也有另一种可能,小白用户完全不折腾这些,就随手保存随手删。像我家人从来不说手机储存小了,因为他们时不时就会删旧照片啥的,操作逻辑与数码相机/功能手机时代比较接近。所以厂商的思路也是隐藏细节。像我们这种懂一点,但又没有充足的时间精力去折腾个彻底的,就会去各种操作然后触发 bug ,相当于志愿测试员了。 |
 | 3 I3tZ9NgHU44xmaA4 2023-11-07 09:49:29 +08:00 3 我在你连接里那楼回复过了。 密码只需要靠问题和邮箱能拿回的年代我从没丢过账号密码,至今也没被 HACK 过账号,但自从那些狗平台搞一大堆安全东西后,就在我密码,问题,邮箱都对情况下,以怀疑我不是我为理由将我的不活跃账号一个一个拿走,根本这些狗平台就是在害人。 而且现在还已经用手机号代替邮箱,根本有手机号情况下,最多能短时 HACK 掉你账号,想长期拿走根本就没可能。 |
 | 4 billlee 2023-11-07 10:04:13 +08:00 via Android 都是 trade off, 像以前那样不加密就会出现冠希哥那样的事故 |
 | 5 manasheep 2023-11-07 10:11:41 +08:00 3 PS:如果希望单独平台泄露后修改为新密码,可以考虑再加一个版本号作为参数,比如:“abc123”+“163.com”+“v3” |
 | 6 shyangs 2023-11-07 10:12:32 +08:00 v2ex 根本有,用不一定是程式. 就算是程式,如果不是科班的,可能也修密、安. |
 | 7 3willashepherd 2023-11-07 10:13:48 +08:00 1 本地机械硬盘冷存储吧,我就是这么干的,数据在自己手里才是安全的,定期检查硬盘状态,2 块及以上硬盘异地放置(没条件放在不一样的地方就行),信网盘不如信我是秦始皇. |
 | 9 tool2d 2023-11-07 10:15:51 +08:00 其实不复杂,我 2fa 密钥我都是明文保存到自己代码库里,代码库有多个备份,一般来说不会丢。 网站要登录的话,马上算一下出结果就是了。 |
 | 11 shinsekai 2023-11-07 10:20:58 +08:00 主要是同步这个词太复杂。同步操作,还是同步结果? |
13
bugmakerxs 2023-11-07 10:23:51 +08:00 日常密码不正确,找回密码重新输入密码时提示“不能用曾经使用过的密码”
然后我就自建 bitwarden 了,然后定期导出到 oss
然后我就自建 bitwarden 了,然后定期导出到 oss
 | 14 adoal 2023-11-07 10:30:14 +08:00 复杂是信息系统的内在特征。机器是违反直觉的。 |
 | 15 amiaaaz 2023-11-07 10:36:08 +08:00 “用一次找回一次”真的太有既视感了…… |
 | 16 yvescheung 2023-11-07 10:45:35 +08:00 我的理解是,这些安全措施更多是为了提高迁移成本,将用户困在自己的软件里 而这些安全措施有时候反而会更不安全,前段时间 Fortress Trust 被盗了 1500 万美元的加密货币,罪魁祸首就是谷歌验证器云端同步被攻击 |
 | 17 C3POX 2023-11-07 10:46:05 +08:00 现在 Apple 和 Google 在推的通行密钥,或许能解决密码复杂性要求多的问题 |
| 18 C3POX 2023-11-07 10:50:33 +08:00 国内的应用基本都是手机号一键登录,安全性要求高的再加上人脸识别,很适合普通人使用 |
 | 19 totoro625 2023-11-07 10:53:31 +08:00 银行 App 真的是用一次找回一次密码,后来我把密码都记在密码管理器内了 再然后发现不管密码对不对,第一次登录都要人脸识别来一遍,发现朋友用弱密码也没任何安全问题,不怕被盗 PS:google auth app 可能也不靠谱,任何不方便转移到另一个软件的东西都不靠谱 |
 | 20 dode 2023-11-07 10:56:54 +08:00 搞了备用机以防手机坏掉 |
 | 21 timeance 2023-11-07 11:42:12 +08:00 突然发现我没保存 google auth 的恢复码用了这么多年... 现在有啥办法管理 2FA 吗? 之前打印了恢复码,但是搬家的时候丢了 |
 | 22 gloeaerris 2023-11-07 12:42:08 +08:00 2fa 我都是 vaultwarden 存一份(每日定时 webdav 备份到坚果云),authy 一份,主要还是用 vaultwarden ,做好数据库备份 |
 | 23 07H56wMvTJUc4rcf 2023-11-07 12:51:52 +08:00 via iPhone 看了你那个 ios 剩余空间的帖子,感觉都是你自己折腾出来的 |
 | 24 ovtfkw 2023-11-07 13:09:47 +08:00 vault 是啥,能不能整通俗一点 |
 | 25 ZxykM 2023-11-07 13:11:57 +08:00 我 2fa 用的 aegis 然后用 syncfolder 进行 webdav 同步到坚果云 |
| 26 F281M6Dh8DXpD1g2 2023-11-07 13:13:19 +08:00 没有金刚钻别揽瓷器活 |
 | 27 sayitagain 2023-11-07 13:18:17 +08:00 我曾经的淘宝密码里有个 单引号...后来被限制登录要求我去掉这个符号 T T |
 | 28 ivvei 2023-11-07 13:30:39 +08:00 via Android @manasheep 想简单了,不同站点可能有不同的密码过期规则,强行要求你改密码。不同站点对密码的长度和允许的符号也有不同要求,有些强制要求大小写字母加数字和符号,有些不允许出现符号只能数字和字母。 |
 | 29 iyaozhen 2023-11-07 13:35:53 +08:00 实话告诉你小白压根不管这些,根本不备份,丢了就丢了 我认识的密码就是写在手机记事本里面(记事本可以单独设置密码)或者就直接微信收藏(可以不断编辑) 而且国内可以一个手机号走天下,密码都不用设置,走短信 |
 | 31 la2la 2023-11-07 14:12:36 +08:00 自己编了一个大小写带符号字母的密码,用在所有需要密码的地方。反正我的信息也不值钱,费这个劲干啥 |
 | 32 iniMeow 2023-11-07 14:21:27 +08:00 不太懂这些,为什么需要另外配置一个密码管理器呢? 苹果的钥匙串对我来说足够方便了( |
 | 33 ding2dong 2023-11-07 14:25:15 +08:00 >>> 有意思,我是脑内转换加参,很简单,但防撞库,防忘,有奇效 ---------------------------------- 这样也不是很安全的,你也不知道有些牛鬼蛇神会不会存储你的明文密码。。 我是遇到过的 |
 | 34 NoOneNoBody 2023-11-07 14:30:57 +08:00 |
| 35 NoOneNoBody 2023-11-07 14:35:10 +08:00 @timeance #21 google 恢复码可以重设的,只要你手上的 2FA 还行得通,具体步骤查 google help |
 | 36 merlinliu1 2023-11-07 14:39:23 +08:00 同不理解,连手机都得设置个密码,iphone 想不设置密码都不行 |
 | 37 aogg 2023-11-07 14:53:06 +08:00 github 登录必须 2fa 有谁遇到的 |
 | 38 freewarcraft 2023-11-07 14:53:55 +08:00 @manasheep 你这方法我也用过,但后来我发现改几次密码我就不记得版本参数了 还是老老实实用 1password |
| 39 q534 OP @ding2dong 这个问题我是这样的,分级别,顶级是金融等类的独立设置,比较重复的就是论坛类的,丢了也不心疼。尽量在方便和安全之间平衡一下子。 |
| 41 q534 OP |
 | 42 himawari8 2023-11-07 15:50:44 +08:00 我是纯文本模式保存密码,不想受限于各个专有 app 专有格式。用 evernote ,一个笔记保存一个网站的的所有信息,比如 ID ,密码,邮箱,手机号,密码问题,2fa ,卡号之类的....密码和手机号保存为部分带"*"的助记符 |
 | 43 xiamy1314 2023-11-07 15:56:18 +08:00 直接存 vaultwarden ,定期导出保存下密码不就好了。 不过周围没多少人用密码软件,很多都是短信登录就可以,换手机登录之类的还要验证码,安全性还是有保障的。 |
 | 44 ltkun 2023-11-07 15:59:50 +08:00 via Android 作为一个程序员还没有自建数据中心的觉悟 是一个不合格的程序员 |
 | 45 vcn8yjOogEL 2023-11-07 16:04:10 +08:00 KeePass 直接存本地文件里,简单粗暴安全好用 只要多端同步逻辑就必然复杂,故障率也必然会飙升,但一密码管理器本来也用不上多端 diff ,何苦呢 |
| 47 manasheep 2023-11-07 16:22:21 +08:00 @freewarcraft 为啥频繁改呢,我的绝大多数密码都没改过 |
 | 48 f165af34d4830eeb 2023-11-07 16:31:12 +08:00 其实本站站长已经建议过了,2fa 的 qr code 可以复制保存一份。 所以我除了 authenticator 的云备份外,本地也会加密打包保存一份 qr code ,作为云备份不可用时的灾备恢复手段,简单但靠谱。 |
| 49 f165af34d4830eeb 2023-11-07 16:32:00 +08:00 @f165af34d4830eeb #48 添加 V2EX 2fa 时大家应该都能看到站长的建议 |
 | 51 ytmsdy 2023-11-07 20:12:47 +08:00 谷歌的 2FA 好像是有云同步的,如果没云同步,2FA 丢失感觉就是灾难。 要被折腾死的感觉。 |
 | 52 kkk9 2023-11-08 02:20:15 +08:00 @sayitagain #27 阿里人防 sql 的日常 阿里人防 xss 的日常 |
 | 53 H0H 2023-11-08 08:14:24 +08:00 这种就不应该是 V 友提的问题。你网上搜搜,被脱裤的大厂还少吗?不少大厂的用户密码就是明文存储的,或者是简单的加盐,最终都可以计算出真正的原始密码。这样就可以到其他网站撞库了。 正因为密码泄漏的太多了,而且有的泄漏后果很严重,所以密码方案才不得不一直升级。现在网站基本上都弃用 http ,改成 https ,不都是类似原因嘛。 至于怎么确保密码、文件不丢,建议认真理解理解什么是同步、备份、增量备份 |
 | 54 duke807 2023-11-08 08:55:49 +08:00 其实最好的解决方案是不用密码 各大网站要登录的时候,发送验证邮件到用户邮箱,用户点击确认连接即可登入,譬如登录一次可以一周或半个月有效 用户要做的是保护好邮箱登录这一个密码即可 为何大厂不这么做呢?因为它们蠢。 |
Select Language